Kemanan Sistem Informasi Berbasis
Internet
Masalah keamannan merupakan salah
satu aspek penting dari sebuah sistem informasi. Sayang sekali masalah keamanan
ini sering kali kurang mendapat perhatian dari para pemilik dan para pengelola
system informasi. Apabila keamanan mengganggu performansi dari system, seringkali keamanan dikurangi atau
ditiadakan. Informasi saat ini sudah menjadi sebuah komoditi yang penting.
Kemampuan untuk mengakses dan menyediakan informasi secara cepat dan akurat
menjadi sangat esensial bagi perusahaan.
Kemanan Sistem Informasi Berbasis
Internet
Jaringan komputer seperti LAN
(Local Area Network) dan Internet, memungkinkan untuk menyediakan informasi
secara cepat. Ini salah satu alasan perusahaan membuat LAN untuk sistem
informasinya dan menghubungkan LAN tersebut ke Internet. Terhubungnya LAN atau
computer ke Internet membuka potensi resiko keamanan (security risk) yang
tadinya dapat dicegah dengan mekanisme keamanan secara fisik. Hal ini sesuai
dengan pendapat bahwa kemudahan (kenyamanan) mengakses informasi berbanding
terbalik dengan tingkat keamanan system informasi itu sendiri. Semakin tinggi
tingkat keaman, semakain sulit (tidak nyaman) untuk mengakses informasi.
Jumlah kejahatan computer
(computer crime), terutama yang berhubungan dengan system informasi, akan terus
meningkat dikarenakan beberapa hal antara lain :
Mudahnya
diperoleh software untuk menyerang computer dan jaringan computer. Internet
yang menyediakan software yang dapat langsung diambil (download) dan
langsung digunakan untuk menyerang dengan Graphical User Interface (GUI) yang
mudah digunakan. Beberapa program seperti bahkan hanya membutuhkan sebuah web
browser untuk menjalankannya. Sehingga, seseorang yang dapat menggunakan web
browser dapat menjalankan program perusak.
Kesulitan
dari penegak hukum untuk mengejar kemajuan dunia computer dan telekomunikasi
yang sangat cepat. Hukum yang berbasis ruang dan waktu akan mengalami kesulitan
untuk mengatasi masalah yang justru terjadi pada sebuah sistem yang tidak
memiliki ruang dan waktu.
Semakin
kompleksnya sistem yang digunakan, seperti semakin besarnya program yang
digunakan sehingga semakin besar kemungkinan terjadinya resiko keamanan.
Semakin
banyak perusahaan yang menghubungkan sistem informasinya dengan jaringan
computer yang global seperti internet. Hal ini membuka akses dari seluruh
dunia. Potensi sistem informasi yang dapat diretas menjadi lebih besar.
Aplikasi
bisnis berbasis teknologi informasi dan jaringan komputer semakin meningkat.
Sebagai contoh saat ini mulai bermunculan aplikasi bisnis seperti on-line
Banking, electronic commerce (e-commerce), Electronic Data Interchange
(EDI), dan masih banyak lainnya. Bahkan aplikasi e-commerce akan menjadi
salah satu aplikasi pemacu di Indonesia. Demikian pula di berbagai penjuru
dunia aplikasi e-commerce terlihat mulai meningkat.
Disentralisasi
server menyebabkan lebih banyak sistem yang harus ditangani. Hal ini
membutuhkan lebih banyak operator dan administrator yang handal yang juga
kemungkinan harus disebar ke seluruh lokasi. Padahal mencari operator dan admistrator
yang handal adalah sangat sulit.
Transisi
dan single vendor ke multi-vendor sehingga lebih banyak sistem
atau perangkat yang harus dimengerti dan masalah interoperability antar
vendor yang lebih sulit ditangani. Untuk memahami satu jenis perangkat dari
satu vendor saja sudah susah, apalagi harus menangani berjenis-jenis perangkat.
Meningkatnya
kemampuan pemakai di bidang computer sehingga mulai banyak pemakai yang
mencoba-coba bermain atau membongkar sistem yang digunakan atau sistem milik
oreng lain. Jika dahulu akses ke komputer sangat sukar, maka sekarang computer
sudah merupakan barang yang mudah diperoleh dan banyak dipasang di sekolah
serta di rumah-rumah.
Kejahatan computer dapat
digolongkan yang sangat berbahaya sampai yang hanya mengesalkan (annoying).
Menurut David Icove berdasarkan lubang keamanan, keamanan dapat
diklasifikasikan menjadi 4 yaitu :
Keamanan
yang bersifat fisik (physical security), termasuk akses orang ke
gedung, peralatan, dan media yang digunakan. Beberapa bekas penjahat computer
(crackers) mengatakan bahwa mereka sering pergi ke tempat sampah untu mencari
berkas-berkas yang mungkin memiliki informasi tentang keamanan. Misalnya pernah
ditemukan coretan password yang dibuang tanpa dihancurkan. Wiretapping atau
hal-hal yang berhubungan dengan akses ke kabel atau computer yang digunakan
juga dapat digunakan ke dalam kelas ini. Denial of Service, yaitu akibat
yang ditimbulkan sehingga service tidak dapat diterima oleh pemakai juga dapat
dimasukkan kedalam kelas ini. Denial of Service dapat dilakukan misalnya
dengan mematikan peralatan atau membanjiri saluran komunikasi dengan
pesan-pesan (yang dapat berisi apa saja karena yang diutamakan adalah jumlah
banyak pesan).
Keamanan
yang bersifat fisik (physical security), termasuk akses orang ke
gedung, peralatan, dan media yang digunakan. Beberapa bekas penjahat computer
(crackers) mengatakan bahwa mereka sering pergi ke tempat sampah untu mencari
berkas-berkas yang mungkin memiliki informasi tentang keamanan. Misalnya pernah
ditemukan coretan password yang dibuang tanpa dihancurkan. Wiretapping atau
hal-hal yang berhubungan dengan akses ke kabel atau computer yang digunakan
juga dapat digunakan ke dalam kelas ini. Denial of Service, yaitu akibat
yang ditimbulkan sehingga service tidak dapat diterima oleh pemakai juga dapat
dimasukkan kedalam kelas ini. Denial of Service dapat dilakukan misalnya
dengan mematikan peralatan atau membanjiri saluran komunikasi dengan
pesan-pesan (yang dapat berisi apa saja karena yang diutamakan adalah jumlah
banyak pesan).
Keamanan
yang berhubungan dengan orang (personel), termasuk identifikasi, dan profil
resiko dari orang yang mempunyai akses (pekerja). Seringkali kelemahan keamanan
sIstem informasi bergantung kepada manusia (pemakai dan pengelola). Ada sebuah teknik yang dikenal dengan istilah
“social engineering” yang sering digunakan oleh criminal untuk
berpura-pura sebagai orang yang berhak mengakses informasi. Misalnya criminal
ini berpura-pura sebagai pemakai yang lupa passwordnya dan minta agar menjadi
kata lain.
Keamanan
dari data dan media serta teknik komunikasi (communications). Yang termasuk
di dalam kelas ini adalah kelemahan dalam software
Keamanan
dari data dan media serta teknik komunikasi (communications). Yang termasuk
di dalam kelas ini adalah kelemahan dalam software yang digunakan untuk
mengelola data. Seorang criminal dapat memasang virus atau Trojan sehingga
dapat mengumpulkan informasi (seperti password) yang semestinya tidak berhak
diakses.
Keamanan
dalam operasi. Termasuk prosedur yang digunakan untuk mengatur dan
mengelola system keamanan, dan juga termasuk prosedur setelah serangan (post
attack recovery).
Keamanan computer (computer
security) melingkupi 4 aspek yaitu privacy, integrity, authentication, dan
availability. Selain keempat hal diatas, masih ada 2 aspek lain yang juga
sering dibahas dalam kaitannya dengan electronic commerce yaitu access
control dan non-repudiation.
Privacy
/ confidentiality Inti utama aspek privacy atau confidentiality
adalah usaha untuk menjaga informasi dari orang yang tidak berhak
mengakses. Privacy lebih kerarah data-data yang sifatnya private sedangkan
confidentiality biasanya berhubungan dengan data yang diberikan ke pihak lain
untuk keperluan tertentu. Contoh hal yang berhubungan privacy adalah e-mail
seorang pemakai (user) tidak boleh dibaca oleh administrator. Contoh confidential
information adalah data-data yang sifatnya pribadi (seperti nama, tempat tanggal
lahir, social security number, Bagama, status perkawinan, penyakit yang pernah
diderita, nomor kartu kredit, dan sebagainya) merupakan data-data yang ingin
diproteksi penggunaan dan penyebarannya. . Contoh lain confidentiality
adalah daftar pelanggan dari sebuah Internet Service Provider (ISP)
Integrity
Aspek ini menenkankan bahwa informasi tidak boleh diubah tanpa seijin
pemilik informasi. Adanya virus, Trojan horse, atau pemakai lain yang
mengubah informasi tanpa ijin merupakan contoh masalah yang dihadapi. Sebuah
e-mail dapat saja “ditangkap” (intercept) ditengah jalan, diubah isinya
(altered, tampered, modified), kemudian diteruskan kealamat yang dituju.
Dengan kata lain integritas dan informasi sudah tidak terjaga. Penggunaan enkripsi
dan digital signature, misalnya, dapat mengatasi masalah ini.
Authentication
Aspek ini berhubungan dengan metode untuk menyatakan bahwa informasi
betul-betul asli, orang yang mengakses atau memberikan informasi adalah
betul-betul orang yang dimaksud, atau server yang kita hubungi adalah
betul-betul server yang asli. Masalah pertama membuktikan keaslian dokumen,
dapat dilakukan dengan teknologi Watermarking dan digital signature.
Watermarking juga dapat digunakan untuk menjaga “intellectual property”,
yaitu dengan menandai dokumen atau hasil karya dengan “tanda tangan” pembuat.
Masalah kedua biasanya berhubungan dengan access control, yaitu berkaitan
dengan pembatasan orang yang dapat mengakses informasi. Dalam hal ini pengguna
harus menunjukkan bukti bahwa memang dia pengguna yang sah, misalnya dengan
menggunakan password, biometric (ciri-ciri khas orang ), dan sejenisnya. Authentication
biasanya diarahkan kepasa orang (pengguna), namun tidak pernah ditunjukkan
oleh server atau mesin.
Availability
Aspek availability atau ketersediaan berhubungan dengan ketersediaan
informasi ketika dibutuhkan. SIstem informasi yang diserang dapat menghambat
atau menghapus akses ke informasi. Contoh hambatan serangan yang disebut “denial
of service attack” (DOS attack), dimana server dikirimi permintaan
(biasanya palsu) yang bertubi-tubi atau permintaan yang diluar perkiraan
sehingga tidak dapat melayani permintaan lain atau bahkan sampai down, hang,
crash. Contoh lain adalah adnya mailbomb, dimana seorang pemakai dikirimi
e-mail bertubi-tubi (katakana ribuan e-mail) dengan ukuran yang besar sehingga
sang pemakai tidak dapat membuka e-mailnya atau kesulitan mengakses e-mailnya.
Access
Control Aspek ini berhubungan dengan cara pengaturan akses kepada
informasi. Hal ini biasanya berhubungan dengan klasifikasi data (public,
private, confidential, top secret) & user (guest, admin, top manager, dsb),
mekanisme authentication dan juga privacy. Access control seringkali dilakukan
dengan menggunakan kombinasi user id/password atau dengan menggunakan mekanisme
lain (seperti kartu, biometrics).
Non
–repudiation Aspek ini menjaga agar seseorang tidak dapat menyangkal
telah melakukan sebuah transaksi. Sebagai contoh, seorang mengirimkan e-mail
untuk memesan barang tidak dapat menyangkal bahwa dia telah mengirimkan email
tersebut. Aspek ini sangat penting dalam hal electronic commerce.
Penggunaan digital signature, certificates, dan teknologi kriptografi secara
umum dapat menjaga aspek ini.
Hackers, Crackers dan Etika
Untuk mempelajari masalah
keamanan, ada baiknya juga mempelajari aspek dari pelaku yang terlibat dalam
masalah keamanan ini, yaitu para Hackers dan Crackers.
Isitilah
Hackers sendiri masih belum baku karena bagi seorang hackers masih konotasi
positif, sedangkan bagi sebagian yang lain memiliki konotasi negatif. Bagi
kelompok yang pertama (old school), untuk pelaku yang jahat biasanya disebut
crackers. Batas antara Cracker dan Hacker sangat tipis. Batasan ini ditentukan
oleh etika , moral dan integritas dari pelaku sendiri.
Untuk
sistem yang berdomisili di Indonesia secara fisik maupun lojik ancaman keamanan
dapat datang dari berbagai pihak. Berdasarkan sumbernya, ancaman dapat
dikategorikan yang berasal dari luar negeri dan yang berasal dari luar negeri.
Ancaman yang berasal dari luar negeri contohnya adalah Hacker Portugal yang
mengobrak-abrik beberapa website milik pemerintahan Indonesia.
Berdasarkan motif dari para
perusak, ada yang berbasis politik, ekonomi dan juga yang hanya ingin mencari
ketenaran. Masalah poloitik nampaknya sering menjadi alasan untuk menyerang
sebuah sistem (baik di dalam maupun di luar negeri). Beberapa contoh dari
serangan yang menggunakan alasan politik antara lain:
Serangan
dari hackers Portugal yang mengubah isi dari beberapa website milik pemerintah
Indonesia dikarenakan hacker tersebut tidak setuju dengan apa yang dilakukan
dengan pemerintah Indonesia di Timor Timur. Selain mengubah isi website, mereka
juga mencoba merusak sistem yang ada dengan menghapus seluruh disk (jika bisa).
Serangan
dari hackers Cina dan Taiwan terhadap beberapa website Indonesia atas kerusakan
di Jakarta (Mei 1998) yang menyebabkan etnis Cina di Indonesia mendapat
perlakuan yang tidak adil. Hackers ini mengubah beberapa website Indonesia
untuk menyatakan ketidaksukaan mereka atas apa yang terjadi.
Beberapa
hackers di Amerika menyatakan akan merusak sistem milik pemerintah Iraq
ketika terjadi ketegangan politik antara Amerika dan Iraq.
Interpretasi Etika Komputasi
Salah
satu hal yang membedakan antara crackers dan hackers, atau antara Computer
Underground dan Computer Security Industry adalah masalah etika. Keduanya
memiliki basis etika yang berbeda atau mungkin memiliki interpretasi yang
berbeda terhadap suatu topik yang berhubungan dengan masalah computing.
Kembali, Paul Taylor melihat hal ini yang menjadi basis pembeda keduanya.
Selain masalah kelompok, kelihatannya umur juga membedakan pandangan
(interpretasi) terhadap suatu topik. Salah satu contoh, Computer Security
Industry beranggapan bahwa Computer Underground masih belum memahami bahwa “computing”
tidak sekedar permainan dan mereka (maksudnya CU) harus melepaskan diri dari “playpen”.
Perbedaan
pendapat ini dapat muncul di berbagai topik. Sebagai contoh, bagaimana pendapat
anda tentang memperkerjakan seorang hacker sebagai kepala keamanan sistem
informasi anda? Ada yang berpendapat bahwa hal ini sama dengan memperkerjakan
penjarah (gali, preman) sebagai kepala
Interpretasi Etika Komputasi
keamanan setempat. Jika analogi
ini disepakati, maka akibat negatif yang ditimbulkan dapat dimengerti. Akan
tetapi para computer underground berpendapat bahwa analogi tersebut kurang
tepat. Para computer underground berpendapat bahwa hacking lebih mengarah ke
kualitas intelektual dan jiwa pionir. Kalau dianalogikan, mungkin lebih ke arah
permainan catur dan masa “wild west” (di Amerika jaman dahulu).
Perbedaan
pendapat juga terjadi dalam masalah “probing”, yaitu mencari tahu
kelemahan sebuah sistem. Computer security industry beranggapan bahwa probing
merupakan kegiatan yang tidak etis. Sementara para computer underground
menganggap bahwa mereka membantu dengan menunjukkan adanya kelemahan dalam
sebuah sistem (meskipun system tersebut bukan dalam pengelolaannya). Kalau dianalogikan
ke dalam kehidupan sehari-hari (jika anda setuju dengan analoginya), bagaimana
pendapat anda terhadap seseorang (yang tidak diminta) yang mencoba-coba
membuka-buka pintu atau jendela rumah anda dengan alasan untuk menguji keamanan
rumah anda.